35、AWS身份与访问管理及安全控制全解析

AWS身份与访问管理及安全控制全解析

1. 内联策略（Inline Policies）

内联策略是嵌入在IAM主体或组中的一组权限。与独立于任何主体存在的AWS和客户管理策略不同，内联策略是主体本身的一部分。当你希望确保策略不会意外附加到错误的主体时，内联策略非常有用。

2. 权限边界（Permissions Boundaries）

当你将策略附加到主体以授予该主体访问权限时，该策略称为权限策略。你还可以使用策略来定义权限边界。权限边界允许你限制IAM主体可以被分配的最大权限，这可以防止你因意外附加错误的权限策略而意外给予用户过多权限。

示例策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}

如果你将此策略作为权限边界附加到用户，然后再将授予对所有AWS服务完全访问权限的 AdministratorAccess 策略附加到该用户，用户仍然只能执行EC2服务中的操作，因为权限边界限制用户只能执行权限边界策略中规定的操作。

创建受限管理用户的步骤（Exercise 12.1）

1. 创建一个名为 Li